文章内容

2021/10/15 10:19:44,作 者: 黄兵

Necro Python 僵尸网络开始瞄准可视化工具 DVR

安全研究人员发现了 Necro Python 僵尸网络的迹象,该网络针对 Visual Tools DVR 系统中的漏洞,以在受感染的系统上安装门罗币矿工。

Necro Python 于今年 1 月首次发现,也被追踪为 N3Cr0m0rPh、FreakOut、Python.IRCBot,并因试图利用多个已知漏洞而闻名。

根据瞻博网络威胁实验室的警告,9 月下旬,僵尸网络在其武器库中添加了一个针对 Visual Tools DVR VX16 4.2.28.0 中的安全漏洞的漏洞。

该僵尸网络基于 Python,包括广泛的功能,包括嗅探网络流量、发起分布式拒绝服务攻击、感染不同类型的文件(HTML、JS、PHP)、安装门罗币矿工、执行命令和使用漏洞或蛮力进行传播。

更重要的是,虽然它在 1 月份作为一个针对 Linux 系统的恶意软件出现,但该脚本也可以在 Windows 系统上运行,并且可以安装 Windows Rootkit。

“该脚本拥有自己的多态引擎,可以在每次执行时自行变形,从而绕过基于签名的防御。这是通过读取代码中的每个字符串并使用硬编码密钥对其进行加密来实现的,”研究人员解释说。

僵尸网络对其命令和控制 (C&C) 和下载服务器使用域生成算法 (DGA)。一旦连接到 C&C,它就可以扫描 IP、从扫描器添加/删除端口、启动反向 shell、执行文件、终止进程、更新自身、启动 UDP/SYN/TCP 洪水、启动放大/反射攻击等等。

自 1 月以来,僵尸网络已收到多项更新,包括实施新漏洞和添加/删除功能(5 月观察到的 SMB 扫描程序已在最新版本中删除)。

添加到其武器库中的最新漏洞基于 2021 年 7 月公开的概念验证代码。 在发起攻击之前,恶意软件会扫描开放端口 22、80、443、8081、8081 和 7001。

分享到:

发表评论

评论列表

user-ico

e on 回复 有用(0

e


user-ico

e on 回复 有用(0

e


user-ico

兔宝宝游戏网 on 回复 有用(2

通过读取代码中的每个字符串并使用硬编码密钥对其进行加密来实现的

游客8ldu on 2022-12-03 08:57:57

e